als PDF

ix0709_x_01_02.pdf 18.06.2009 13:13:36 Uhr - 1 - ( )
ix.0709.x.01-08
12.06.2009 11:30 Uhr
Seite I
sponsored by:
Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG
Security
extra
Security
Vom isolierten Schadprogramm
zum „Blended Threat“
Vom isolierten Schadprogramm zum „Blended Threat“
Die komplexe Gefahr
Seite I
Strategien zum Schutz gegen Malware
Faktor Mensch
Seite IV
Vorschau
Storage
Storage via Ethernet
Seite VIII
Veranstaltungen
20. – 24. Juli 2009, San José
Open Source Convention (OSCON)
en.oreilly.com/oscon2009
17. – 19. August 2009, Köln
Game Developer Conference Europe
www.gdceurope.com
4. – 9. September 2009, Berlin
IFA 2009
www.ifa-berlin.de
6. – 8. Oktober 2009, Den Haag
Isse 2009
www.isse.eu.com
13. – 15. Oktober 2009, Nürnberg
it-sa
www.it-sa.de
3. – 5. November 2009, München
RiskConf 2009
www.ix-conference.de
iX extra hlagen:
Nachsc .shtml
rity
Security zum
cu
e/ix/extra/se
www.heise.d
Die komplexe
Gefahr
Hinter der Viren- und Trojaner-Szene stecken
zunehmend konkrete finanzielle Interessen. Diese
These ist nicht neu, aber ihre praktischen Auswirkungen
spüren die Anwender erst jetzt: Malware ändert ihren
Charakter, sie wandelt sich vom Einzelphänomen zum
„Frontend“ einer ganzen Schattenwirtschaft.
alware existierte lange
Zeit als ein konzeptionell
einfach zu fassendes Risiko: Es
handelte sich um unerwünschte Software, die sich auf unterschiedliche Weise aktiv verbreitete und zumeist auch einen
spezifischen Schaden verursachte. Simpel war das Konzept, weil die meisten Malware-Schreiber nur zeigen
wollten, dass sie Sicherheitsmaßnahmen überwinden konnten und den Administratoren der
Unternehmen und anderen Organisationen überlegen waren.
Dass diese Zeiten vorbei
sind, ist bekannt. Vor allem die
Anbieter von Anti-Virus-Produkten, aber ebenso unabhängige
Organisationen wie das Bundesamt für Sicherheit in der
Informationstechnik (BSI),
das europäische BSI-Pendant
ENISA, die Gesellschaft für
Informatik oder die EICAR berichten seit etwa zwei Jahren
regelmäßig von einer gut organisierten kriminellen Schattenwirtschaft, die Malware lediglich als Mittel zu einem sehr
profanen Zweck betrachtet:
Sie soll gezielt Finanz- und Geschäftsdaten oder sonstige per-
M
sönliche Informationen ausspionieren und Rechner für die
Spam-Versendung oder andere
Transaktionen kapern.
Sabotage-Malware gibt es
nach wie vor, aber auch sie soll
inzwischen nicht mehr einfach
die Überlegenheit ihres jeweiligen Autors beweisen, sondern
Geld bringen. Prominentestes
Beispiel ist Software, die in
Systeme eindringt, deren Festplatten verschlüsselt und die
Entschlüsselung nur gegen die
Zahlung eines Lösegelds erlaubt. Dass diese kriminellen
Geschäftsansätze nicht überhand nehmen, liegt allein in
den Problemen der Geldwäsche
begründet. Die üblichen Wege
und Methoden, bei denen ein
angeworbener Helfer – wie bei
der finanziellen Auswertung
von Phishing-Attacken – Zahlungen auf seinem Konto entgegennimmt und dann über
anonyme Geldtransfer-Institute
an die eigentlichen Empfänger
weiterreicht, sind nicht leistungsfähig genug für Transaktionen im großen Stil.
Mit Malware lassen sich aber
auch Geschäfte einfädeln, bei
denen der Geldtransfer völlig im
I
ix0709_x_01_02.pdf 18.06.2009 13:13:53 Uhr - 2 - ( )
ix.0709.x.01-08
12.06.2009 11:30 Uhr
Seite II
Security
Verborgenen abläuft. Dies gilt
beispielsweise für diverse Varianten der Industriespionage.
Spyware etwa wird zum Abschöpfen von Geschäftsinformationen verwendet, für die sich
die Konkurrenz der betroffenen
Unternehmen interessiert. Dabei
individualisieren die Angreifer
ihre Spionageprogramme nicht
immer gleich so weit, dass sie
auf eine einzelne Abteilung oder
gar Person in einem ganz bestimmten Unternehmen zugeschnitten sind.
Vielmehr lässt sich Spyware
zum Beispiel über eine gefälschte oder unterwanderte Branchen-Informationsseite gezielt in
möglichst viele Firmen derselben
Geschäftsrichtung einschleusen.
Die Ergebnisse einer solchen
Aktion könnten die Angreifer
dann an ein Unternehmen verkaufen, das aus der gleichen
Branche kommt und sich in
einem bestimmten Land neu
positionieren möchte. Der WebSecurity-Anbieter Scansafe etwa
geht in seiner Prognose für 2009
davon aus, dass Malware dazu
dienen wird, gezielt patentfähige
Forschungsergebnisse aus firmeninternen Entwicklungsabteilungen auszuspionieren.
Malware der kommenden
Jahre dürfte vor diesem Hintergrund zunehmend als Teil sogenannter „Blended Threats“ auftreten. Die Angreifer verfolgen
ihre Ziele auf unterschiedlichen
Wegen gleichzeitig, und sie werden versuchen, Spyware per
Mail, Web und auf Datenträgern
in die Unternehmen zu schaffen.
Ausschließlich per Massenmail
verteilte Schädlinge nehmen ab,
dafür steigt weiterhin – hier sind
sich nahezu alle Studien einig –
die Zahl der Trojaner und Spyware-Produkte, die über Websites per Drive-by-Download
verteilt werden. Außerdem
nimmt die Zahl derjenigen Trojaner zu, die sich über zielgerichtete Download-Anreize für
immer kleinere Zielgruppen verbreiten.
Quelle: Microsoft
Qualitätssicherung
im Malware-Business
Würmer setzen auf Social Engineering: Hier hat Conficker
Auto-Play-Optionen in Windows um eigene Funktionen
ergänzt. Die markierte Option „Open folder …“ taucht in
diesem Dialog normalerweise nicht auf (Abb.ˇ1).
Der Wurm „WORM_WALEDAC.KAX“ köderte Anwender mit
angeblichen Informationen über Barack Obamas
Präsidentschaftskandidatur (Abb.ˇ2).
II
Moderne Malware des beschriebenen Musters hat Erfolg: Die
erwähnte Scansafe-Prognose,
die auf einer Analyse von 20
Milliarden monatlichen Web-Anfragen bei Unternehmen in 80
Ländern beruht, geht davon aus,
dass der Umfang der im Web
verbreiteten Malware monatlich
um 6 % steigt. Die Rate der tatsächlich betroffenen Anwender
wächst um 16 %. Vor diesem
Hintergrund werden sich die
Angreifer bemühen, die SocialEngineering-Komponenten der
Malware-Produkte noch weiter
auszufeilen. Dies wiederum hat
Konsequenzen für die Abwehrstrategien.
Interessant für die weitere
Analyse ist die Tatsache, dass
moderne Malware auf ihrem
speziellen Markt „Qualität“
beweisen muss, um in ihrem
Anwendungsbereich den beschriebenen Erfolg zu haben.
Es reicht eben nicht mehr, dass
der Autor des Schädlings mit
seinem Produkt zufrieden ist.
Die Qualitätsmerkmale für
die Ware Malware sind unterschiedlicher Natur. Zunächst
zählt natürlich nach wie vor die
technische Qualität der Programme selbst. Sie müssen
beispielsweise hinreichend flexiblen Code aufweisen, um den
Wettlauf mit den Scan-Engines
immer wieder zu gewinnen.
Darüber hinaus punkten –
wie bei „guten“ IT-Produkten –
die Vernetzungs- und Kommunikationsfähigkeiten, das heißt die
„Kollaborationseigenschaften“.
Konkret handelt es sich dabei
etwa um Funktionen zur Fernsteuerung durch den Auftraggeber und gegebenenfalls die
Fähigkeit, ein schnell fluktuierendes Botnet zu bilden. Ein weiteres zentrales Qualitätskriterium
ist die Konfigurierbarkeit für verschiedene Social-EngineeringKonzepte, die es erlaubt, Malware zum Beispiel im Rahmen
einer gezielten Phishing-Attacke
gegen eine bestimmte Anwendergruppe einzusetzen.
Diese Aufteilung der Qualitätsmerkmale und Anforderungen an Malware führt zu
einer zunehmenden Arbeitsteilung bei den Produzenten
der Schädlinge. Untersuchungen von RSA Security und
MessageLabs haben gezeigt,
dass Malware immer häufiger
als „Service“ angeboten wird.
Dabei können die Kunden ihre
Wunsch-Schädlinge nach
einem Baukastenprinzip für bestimmte Aufgaben zusammenstellen und gegebenenfalls eine
Botnet-Infrastruktur oder gefälschte Webseiten mitbuchen.
Der Leistungsumfang orientiert
sich an den Ansprüchen des
Kunden und dessen Zahlungsbereitschaft. Selbst Service
Level Agreements, Support und
Testplattformen gehören inzwischen zum Repertoire der
Schattenwirtschaft.
Auf den ersten Blick scheint
es, als müsse das Baukastenprinzip zu einer gewissen
Standardisierung der MalwareProdukte führen, die deshalb
iX extra 7/2009
ix0709_x_03_Kaspersky.pdf 18.06.2009 13:14:31 Uhr - 1 - ( )
Cybercrime
Daniels Netzwerk ist
geschützt. Ihres auch?
Wir halten Ihre Systeme am Laufen!
Mit zentraler Administration erleichtern wir Ihren Berufsalltag.
Daniel muss sich um vieles kümmern. Er sorgt für
Überprüfen Sie jetzt, ob Ihr Unternehmen auch rich-
die Verfügbarkeit des Systems und ein robustes
tig geschützt ist. Mit dem kostenlosen Kaspersky
Netzwerk. Außerdem löst er die technischen Pro-
Cybercrime Scanner und einem Ratgeber zum
bleme seiner Kollegen.
Schutz vor Cyberkriminalität im Unternehmen:
www.stop-cybercrime.de
Wegen Cybercrime macht er sich keine Sorgen.
Wie 250 Millionen Menschen weltweit verlässt er
sich auf Kaspersky Lab, wenn es um den zuverlässigen Schutz vor Trojanern, Phishing-Mails,
Hackerangriffen und Spam geht.
w w w . k a s p e r s k y . d e
KASPERSKY_IX_200x280_5_D.indd 1
10.06.2009 16:01:10
ix0709_x_04.pdf 18.06.2009 13:14:46 Uhr - 1 - ( )
ix.0709.x.01-08
12.06.2009 11:30 Uhr
Seite IV
Security
Trends in Kürze
Neben dem generellen Trend zu Malware, die immer häufiger als
Bestandteil komplexer Blended Threats auftritt, haben die Labore
der Anbieter von Abwehrlösungen zu Beginn des Jahres eine
Reihe bemerkenswerter punktueller Trends veröffentlicht. Hier
einige der wichtigsten in Kürze:
– Social-Network-Phishing nimmt einer Reihe von Studien
zufolge zu. Kundendaten sind ein wertvolles Gut, und aus SocialNetworking-Seiten lässt sich eine Fülle von Informationen über
kaufkräftige Zielgruppen ermitteln. Ein Angreifer, der per Phishing beispielsweise Kontodaten hinzugewinnt, kann höchst
wertvolle „qualifizierte Adressdatensätze“ verkaufen. Außerdem
lassen sich die so gewonnenen Daten dazu nutzen, fremde Identitäten für Transaktionen einzusetzen.
– Botnetze nutzen Hypervisor-Technik. Nachdem es 2008 gelungen ist, einige klassische Botnetze wirksam zu bekämpfen,
suchen die Betreiber nach besserer Technik. MessageLabs sieht
erste Anzeichen dafür, dass die Angreifer mit Virtualisierungstechnik experimentieren.
– Captcha-Mechanismen werden unterwandert. Viele Webanbieter versuchen, den Missbrauch ihrer Angebote durch maschinelle
Angriffe zu unterbinden, indem sie den Anwender vor Abschluss
einer Transaktion grafisch verschleierte Zeichen abtippen lassen,
die eine bösartige Software nicht einfach aus der Website auslesen kann. Hier hat ein neuer Wettlauf zwischen Gut und Böse
begonnen: Einzelne Captcha-Mechanismen sind bereits
geknackt.
– Reputationsdiebstahl könnte zunehmen. Einige Malware-Spezialisten befürchten, in den vergangenen Monaten bekannt
gewordene Sicherheitslücken in der DNS-Infrastruktur könnten
von Angreifern dazu genutzt werden, Anwendern beim Surfen
oder bei der E-Mail-Kommunikation falsche IP-Adressen unterzuschieben.
– Javascript-Malware nimmt G-Data zufolge ab, während FlashMalware zunimmt. Angreifer haben Verfahren zum Flashgestützten Phishing entwickelt. Auch die Media-Player werden
ein Angriffsziel bleiben – hier kommt Malware in Form von
angeblich benötigten Zusatz-Codecs für Filme ins Spiel, hinter
denen sich Trojaner-Komponenten verbergen.
Faktor Mensch
Strategien zum Schutz gegen Malware
Die kriminellen Machenschaften der Malware-Szene
verlangen von Unternehmen eine mehrdimensionale
Abwehrstrategie. Es gilt, mit technischen Mitteln
möglichst viele Einfallstore für Spyware, Würmer, Viren
und Trojaner zu schließen und zugleich die Anwender
einzubeziehen. Deren Schwächen nutzen die Angreifer
heute oft lieber aus als die klassischen Sicherheitslücken im Netzwerk und den Anwendungen.
IV
leichter von Scannern entdeckt
werden könnten. Aber diese
Hoffnung trügt: Das Qualitätsmerkmal der Wandlungsfähigkeit ist eines, das die Hersteller
von Trojanern, Spyware und anderen Schädlingen nicht nur
hartnäckig verfolgen, sondern
auch zuverlässig erreichen. Moderne Malware kann ihre Gestalt
ändern, selbst wenn sie über
einen gewissen Zeitraum dem
gleichen Ziel dient. Hinzu kommen die erwähnte Arbeitsteilung, die mit dem Fachwissen
unterschiedlicher Spezialisten
einen weiteren Qualitätsschub
bei Malware-Produkten mit sich
bringt, und die Tatsache, dass
für lukrative Projekte auch die
entsprechenden finanziellen
Mittel zur Verfügung stehen.
Ein weiterer für die heutige
Malware-Szene charakteristischer Aspekt ist ihre schnelle
Reaktion auf wirtschaftliche und
zeitgeschichtliche Entwicklungen und Ereignisse. So kompensierte die Schattenwirtschaft
Einnahmeverluste, die ihr durch
verstärkte Maßnahmen der Banken gegen klassischen Kreditkartenbetrug entstanden, sofort
durch intensivierte Phishing-Aktivitäten, um die Konten ihrer
Opfer direkt zu plündern.
Die Social-Engineering-Komponenten ihrer Produkte passen
die Betrüger mit hoher Effektivität der jeweils aktuellen Nachrichtenlage an. So lieferten sie
während der Präsidentenwahl in
den USA eine Fülle von angeblichen Informationen zu Barack
Obama und seinen Kontrahenten. Die „Nachrichten“ waren
perfekt lokalisiert und bedienten
exakt die Erwartungshaltungen
in den jeweiligen Zielländern.
Selbst vorsichtige Anwender
lassen sich auf diese Weise per
Mail und im Web überrumpeln.
Prominenten-Spam, der
Klatschnachrichten über Stars
imitiert und die Opfer mit
scheinbaren Enthüllungen auf
Malware-Seiten lockt, ist besonders häufig zu beobachten.
Klassische Virenscanner geraten durch die beschriebenen
Trends ins Hintertreffen. Sie
sind nach wie vor allein auf das
Aufspüren von Viren, Spyware
und Trojanern an einzelnen
Rechner- und Netzwerkschnittstellen ausgerichtet. Damit leisten sie zwar weiterhin einen
wichtigen Beitrag zur Bekämpfung, erfassen aber nur einen
Teil des Gesamtphänomens, das
hinter moderner Malware
steckt. Wer der Bedrohung in
Zukunft wirkungsvoll begegnen
will, benötigt neue Strategien,
die neben der Fülle der technischen Einfallstore für Schadprogramme zunehmend den
Menschen am PC einbeziehen.
(sf/ur)
Bettina Weßelmann
arbeitet als freie
Fachjournalistin in München.
alware schädigt Unternehmen heute auf
mehreren Ebenen – sie hilft
Kriminellen, vertrauliche Informationen auszuspionieren, um
sie der Konkurrenz oder der
Öffentlichkeit zuzuspielen, sie
missbraucht Firmenrechner für
den Spam-Versand und für die
Verteilung weiterer Malware
und sie sabotiert IT-Systeme
direkt. Der Schaden, den sie
anrichtet, beschränkt sich
längst nicht mehr auf technische Ausfallzeiten und deren
Konsequenzen. Malware kann
die Konkurrenzfähigkeit eines
Unternehmens auch über die
Einschränkung der Effizienz
und den Verlust des guten
Rufes untergraben. Wer Mitbewerber ausschalten will, spioniert deren Kundendaten aus
und nutzt sie selbst oder stellt
sie ins Web.
Mit der Wirkungsbreite moderner Schadsoftware steigt
auch deren Schlagkraft. Statt
singulären Angriffsprogrammen
sieht sich ein Unternehmen
heute ganzen Kampagnen
gegenüber, die maßgeschneiderte Malware in ein komplexes
Geflecht aus Phishing-Attacken,
M
iX extra 7/2009
ix0709_x_05_Eset.pdf 18.06.2009 13:15:06 Uhr - 1 - ( )
ADVANCED+
ON DEMAND
DETECTION TEST
FEB 09
ix0709_x_05_Eset.indd 1
15.06.2009 11:42:07 Uhr
ix0709_x_06.pdf 18.06.2009 13:15:22 Uhr - 1 - ( )
ix.0709.x.01-08
12.06.2009 11:30 Uhr
Seite VI
Security
Social Engineering und direktem Hacking einbinden. Trojaner, Spyware und Würmer dringen über E-Mail, kriminelle
Webangebote, kompromittierte
„gute“ Webseiten, Fileshares,
mobile Datenträger und auf
weiteren Wegen in die Netze
ein. Immer ausgedehntere Firmennetzwerke ohne feste
Grenzen, die mit Home-OfficePCs, Notebooks und den Geräten von freien Mitarbeitern und
Beratern verbunden sind,
schaffen hier immer mehr Angriffsvektoren für Hacker und
Malware-Programmierer.
Hinzu kommt, dass aktuelle
Compliance-Ansprüche und die
Sachzwänge moderner Arbeits-
welten mehr denn je auseinanderdriften: So unterliegt gerade heute längst nicht mehr
jedes Gerät im Netz vollständig
der Gewalt des Administrators,
während formal die Forderung
nach lückenlosem Sicherheitsmanagement der Systeme
immer lauter wird. So sieht sich
der Systemverwalter mit rechtlichen Vorschriften, vertraglichen Vereinbarungen und
einer wachsenden Sensibilität
der Öffentlichkeit für Datenschutzfragen konfrontiert, die
einen konsequenten Schutz von
Ressourcen wie Kundendatenbanken und Produktionsservern
im Unternehmen verlangen. Zugleich aber muss er dieselben
Ressourcen einer rasch wachsenden Zahl von Anwendern,
privaten PCs und anderen netzwerkfähigen Geräten sowie
selbstständig operierenden
Systemen wie den Webservices
zugänglich machen.
Filter sind
nur ein Baustein
Dies hat Konsequenzen für das
Abwehren von Schadprogrammen. Administratoren müssen
Sensoren, Barrieren und Ansatzpunkte für Gegenmaßnahmen übers ganze Netz verteilen, je nach Schutzbedarf
einzelner Systeme und Netzsegmente. Die Technik muss
MARKTÜBERSICHT ANTI-VIREN-LÖSUNGEN
Die folgende Übersicht erhebt keinen Anspruch auf Vollständigkeit.
Hersteller
Aladdin
Alwil
Authentium
AVG
Avira
ClamAV
Computer Associates
Doctor Web
ESET
F-Secure
G Data
Group Technologies
IKARUS Software
IronPort
Kaspersky
Landesk
McAfee
MessageLabs
Microsoft
Microworld
Netcleanse
Norman Data Defense
Panda Security
QuickHeal
Rising
Safe&Software
Shavlik
Softwin
Sophos
Sunbelt Software
Symantec
Trend Micro
Virusblokada
VI
Produkt
eSafe
Avast Professional
Command AV
Anti-Virus Netzwerk Edition
AntiVir Server
ClamAV for Unix
Antivirus, Threat Manager r8.1
Dr.Web
NOD32
Anti-Virus
AntiVirus
iQ Suite
IKARUS
Email Gateway
Space Security
AntiVirus
Secure Internet Gateway, Virusscan
Email Anti-Virus
Live OneCare, Forefront
eScan
Netcleanse
Norman Endpoint Protection
Security for Enterprise
AntiVirus for Linux/Windows
Rising AV
Safe’n Sec
NetChk Protect 7
BitDefender
Anti-Virus
VIPRE Enterprise
AntiVirus Corporate Edition
InterScan, OfficeScan, ScanMail
VBA32
Webadresse
www.aladdin.de
www.avast.com
www.authentium.com
www.avg.de
www.avira.de
www.clamav.net
www.ca.com.de
www.drweb-online.com
www.eset.de
www.f-secure.de
www.gdata.de
www.group-technologies.com/de
www.ikarus.at
www.ironport.de
www.kaspersky.de
www.landesk.de
www.mcafee.de
de.messagelabs.com
www.microsoft.com/germany
www.microworld.de
www.netcleanse.com
www.norman.com.de
www.pandasecurity.com/germany
www.quickheal.co.in
www.rising-eu.com
www.safensoft.de
www.shavlik.com
www.bitdefender.de
www.sophos.de
www.sunbeltsoftware.com
www.symantec.de
www.trendmicro.com.de
www.vba32.de
so funktionieren, dass sie die
produktive Arbeit im Unternehmen mit seinen immer mobileren und immer eigenständiger
arbeitenden Anwendern nicht
stört.
Die wohl wichtigste strategische Forderung im Bereich des
Schutzes gegen Malware ist es,
Filter und Virenscanner nur
noch als eine von mehreren
Komponenten der Abwehr zu
betrachten. Ein modernes Netz
braucht Scanner am Gateway,
auf Clients, im Netz vor zentralen Ressourcen und in den speziellen Varianten der XML- und
Web Application Firewalls.
Als zusätzliche Abwehrbarrieren aber dienen Systeme,
die man bisher eher als Mittel
gegen direkte Hacks und die
Aktivitäten unberechtigter Benutzer kennt. Dabei handelt es
sich unter anderem um Intrusion Prevention, Netzwerksegmentierung, starke Authentifizierung und Verschlüsselung.
Dass sich die Abwehr von Malware und die Maßnahmen
gegen Hacker heute decken, ist
auf Einsatzzweck und Technik
der modernen schädlichen
Software zurückzuführen. Sie
agiert im Netz möglichst in der
Rolle eines Anwenders und versucht, eigenen Zwecken wie
dem Versand von Spam nachzugehen, Informationen abzugreifen oder sie zu zerstören.
Abschottung einzelner
Segmente
Je besser ein Netz segmentiert
ist, je sicherer die Anmeldeprozeduren an wichtigen Servern
und Datenbanken gestaltet sind
und je besser die Sicherheitssysteme außergewöhnliches
Verhalten im Netz aufspüren,
desto weniger Schaden kann
ein Trojaner oder eine Spyware
anrichten, wenn die Malware
doch einmal die Virenscanner
überwindet und dann etwa die
Rechte eines einzelnen Benutzers oder einen kompletten
exponierten Server in der DMZ
übernimmt.
iX extra 7/2009
ix0709_x_07_Genua.pdf 18.06.2009 13:15:39 Uhr - 1 - ( )
Neuheit GeNUCard
Kompaktes Sicherheitspaket für Laptops mit
Firewall
QQVPN-Gateway
QQToken-Funktion
QQ
IT- Security to go
www.genua.de
ix0709_x_000_Genua.indd 1
09.06.2009 14:45:50 Uhr
ix0709_x_08.pdf 18.06.2009 13:15:56 Uhr - 1 - ( )
ix.0709.x.01-08
12.06.2009 11:30 Uhr
Seite VIII
Security
Vor diesem Hintergrund
lesen sich die aktuellen Empfehlungen der Burton Group zur
Abwehr von Malware in ihrem
Positionspapier „Security and
Risk Management Strategies:
Malicious Software“ nicht zufällig wie eine Komplettanleitung zur Netzwerksicherheit.
Für Host-Systeme befürworten
die Analysten gewöhnliche
On-Demand- und On-AccessScanner, den Einsatz von System-Firewalls, stets aktuelle
Patches zum Schließen von
Sicherheitslücken und, wenn
möglich, eine restriktive Konfiguration, die möglichst viele
potenzielle Malware-Aktivitäten
unterbindet.
Wo ein erhöhtes Risiko
vermutet wird, rät die Burton
Group zusätzlich zu Host-Intrusion-Detection-Systemen, die
mit Anomalie-Erkennung ausgerüstet sind, zu speziellen Sicherheitsmodulen für E-MailProgramme und Browser sowie zum Application Whitelisting und zur Einführung von
NAC. Die beiden
letzten Punkte dürften für besonders gefährdete oder exponierte Systeme wohl die interessantesten sein.
Application Whitelisting
schließt unangemeldete Programme und damit auch Malware von einem Start auf dem
betreffenden Rechner aus, und
NAC sorgt zum Beispiel dafür,
dass kein Computer ohne aktiven Virenscanner und ohne
eine bestimmte SicherheitsMindestausrüstung überhaupt
ins Netz kommt. Whitelisting ist
allerdings nicht anwendbar auf
Computern, auf denen häufige
Software-Installationen zur Arbeit des Anwenders gehören.
Die Empfehlung der Burton
Group für E-Mail-Anwendungen
bietet nichts Außergewöhnliches: Filterschutz per Service,
am Gateway und auf dem Server. Im Bereich Netzwerk allerdings führen die Analysten das
gesamte Arsenal heutiger Sicherheitstechnik an – von Network Intrusion Prevention mit
Anomalieerkennung über Forensik und NAC bis hin zur fortgeschrittenen Segmentierung.
Im Webbereich sollen die Systemverwalter neben den üblichen Filtern auch Application
Proxies, Instant-Messaging-Filter und gezielten Schutz vor
Peer-to-Peer-Übertragungen
implementieren. Wichtig ist der
Rat, beim Filtern die Richtung
vom Netz nach außen nicht zu
vergessen. Malware, die allen
Vorkehrungen zum Trotz ins
Netz gelangt ist, kann dann
immerhin keine Informationen
an ihre Produzenten senden
und fällt möglicherweise aufgrund ihrer Versuche auf,
„nach Hause zu telefonieren“.
Im Remote-Access-Bereich
sind der Burton Group zufolge
VPNs, Gateway-Filter, Segmentierung und erneut Intrusion
Prevention gefragt. Und für den
Fall, dass doch einmal Malware
ins Netz eindringen kann, sollte
ein Unternehmen seine Systeme schnell von Images wiederherstellen können.
Der Mensch als
Sensor und Firewall
Was im Rahmen des technischen Ansatzes der Burton
Group kaum zur Sprache
kommt, ist der menschliche
Faktor. Zuletzt haben die Varianten der Conficker-Malware
mit ihrer Vielzahl an Verbreitungswegen gezeigt, wie gefährlich es sein kann, wenn
Anwender die Gefahren des
Umgangs mit Web, E-Mail und
In iX extra 8/2009:
Storage – Storage via Ethernet
Am Anfang war das Ethernet.
Verteilte Netze ermöglichten
die Übertragung von Daten auf
Speichergeräte, die nicht mehr
direkt neben dem Server stehen mussten. Doch waren Paketverluste und Latenzzeiten in
Kauf zu nehmen. Erst mit
Fibre-Channel-Netzen und
einer vom LAN abgetrennten
Infrastruktur setzte sich ein für
große Unternehmen geeigneter
neuer Standard durch. Für kleinere Firmen, bei denen es weniger auf Perfektion als auf
niedrige Kosten ankommt, eröffnete iSCSI auf Basis von
Ethernet eine Perspektive.
Worin sich die Ansätze voneinander unterscheiden und wie
sie sich historisch entwickelten, zeichnet das iX extra nach.
Auch fragt sich, ob Fibre Channel over Ethernet (FCoE) den
Tod von Fibre Channel bedeutet oder nur eine logische Etappe in der Entwicklung ist.
Erscheinungstermin:
23.07.2009
DIE WEITEREN IX EXTRAS:
Ausgabe
09/09 Networking
10/09 Embedded Systems
11/09 Security
VIII
Thema
Sicher verbunden – Virtual Private Networks
Automotive Computing
On- und Offline-Verschlüsselung
Erscheinungstermin
20.08.09
17.09.09
15.10.09
USB-Sticks nicht kennen.
Außerdem arbeiten immer
mehr schädliche Programme
mit Social-Engineering-Komponenten, um beispielsweise an
Kennwörter zu gelangen oder
sich einfach auf ein System
downloaden zu lassen.
Einer der wichtigsten Aspekte
einer schlagkräftigen Abwehrstrategie gegen diese Risiken
liegt darin, sicherheitsgerechtes
Verhalten tatsächlich zum Teil
der Unternehmenspraxis zu machen. Dazu müssen nicht nur die
„normalen“ Anwender ihr Verhalten ändern, sondern auch
Administratoren, Sicherheitsverantwortliche und die Fachvorgesetzten der Abteilungen.
Die Security-Spezialisten
zum Beispiel sollten die Anwender unbedingt unterstützen,
wenn diese sich freiwillig sicherheitsgerecht verhalten.
Wenn ein Mitarbeiter beispielsweise mit einem USB-Stick zur
Administration kommt, den er
an fremde Rechner anschließen
musste, sollte ihm der Systemverwalter bei der Überprüfung
helfen. Und meldet ein Mitarbeiter aus freien Stücken, dass
er vielleicht auf eine verseuchte
Website geraten ist oder seltsames Systemverhalten bemerkt, ist statt Tadel und Sanktion ebenfalls Hilfe angebracht.
Menschen sind hervorragende Sicherheitssensoren,
wenn man sie in die SecurityArbeit einbezieht. Damit Letzteres gelingt, muss man ein
gewisses Maß an Fehlern akzeptieren, Fragen geduldig beantworten und auch laienhaft
vorgetragene Beobachtungen
ernstnehmen. Besonders effektiv lassen sich die Mitarbeiter
eines Unternehmens übrigens
für die Sicherheit aktivieren,
wenn man ihre Fachvorgesetzten als Multiplikatoren für die
Awareness-Arbeit gewinnt –
denn am Verhalten und den
Vorgaben ihrer Abteilungsleiter
orientieren sich die meisten Angestellten weit eher als an den
Regeln des IT-Personals. (sf/ur)
Bettina Weßelmann
iX extra 7/2009